近日,Immersive Labs Researcher的安全研究人员利用松垮的Fitbit隐私控制功能开发了一个恶意间谍软件表盘(概念验证)。证明利用开放的开发者API,攻击者可以开发出可访问Fitbit用户数据的恶意应用程序,并将其发送到任何服务器。
Immersive Labs的网络威胁研究总监Kev Breen指出:
“从本质上讲,(开发者API)可以发送设备类型、位置和用户信息,包括性别、年龄、身高、心率和体重。”布雷恩解释说。“它还可以访问日历信息。尽管其中不包括PII个人资料数据,但日历邀请可能会暴露其他信息,例如姓名和位置。”
由于可以通过Fitbit开发API获得所有这些信息,因此开发应用程序进行攻击并不复杂。Breen很轻松就开发出了恶意表盘,随后他可以通过Fitbit Gallery(Fitbit的应用商店)发布。因此,这个间谍软件看起来合法,这大大提高了用户下载的可能性。
Breen解释说:“我们的间谍软件现已在fitbit.com上发布。重要的是要注意,尽管Fitbit并未将其视为‘可用于公共下载’,但该链接仍可在公共领域访问,而我们的‘恶意软件’仍可下载。”
Breen说,越多用户在任何移动设备上点击该链接,恶意软件的合法性就越来越高,它在Fitbit应用程序内打开,并且“所有缩略图都像是合法应用程序一样完美呈现,只需单击一下即可下载和安装,在Android和iPhone手机上都可以。”
Breen还发现,Fitbit的API允许对内部IP范围使用HTTP,他滥用这一点将恶意表盘变成原始的网络扫描仪。
他说:“有了这项功能,我们的表盘可能会威胁到企业。”“它可以用来做所有事情,从识别和访问路由器、防火墙和其他设备到暴力破解密码以及从公司的内部应用程序读取公司的内部网。”
冰山一角
截至本文发稿,Fitbit已经对Breen的安全报告做出回应,表示已迅速部署缓解措施。
当从专用链接安装应用程序时,Fitbit在用户界面中为用户添加了一条警告消息,它使消费者更容易识别即将安装的是否是公开列出的正规程序。
Breen说,Fitbit还致力于在授权流程中调整默认权限设置,使其默认为不选择。
然而,截至上周五,Breen的恶意表盘仍可在Fitbit应用商店中供大众访问。
Fitbit的安全漏洞只是近期一系列可穿戴物联网安全威胁的冰山一角,上周,联网成人用品(男性贞操环)发现严重漏洞,被黑客攻击锁死后,需要借助角磨机才能从器官上取下。
上个月,Mozi僵尸网络恶意软件占了IoT设备上全部流量的90%。而蓝牙欺骗漏洞让数十亿设备暴露在攻击火力之下,这些都让物联网安全态势进一步恶化。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
